Evaluación de los sistemas La elaboración o adquisición de sistemas debe evaluarse con mucho detalle, para lo cual se debe revisar la planeación y elaboración de los sistemas hasta su desarrollo e implantación. Se deberá evaluar si: Existen realmente sistemas entrelazados como un todo o bien si existen programas aislados. Existe un plan estratégico para la elaboración de los sistemas o bien si se están elaborando, sin el adecuado señalamiento de prioridades y de objetivos. Los recursos son los adecuados y si se están utilizando en forma eficaz y eficiente. El plan estratégico deberá establecer los servicios que se prestarán en un futuro, contestando preguntas como las siguientes: Cuales servicios se implementarán? Cuando se pondrán a disposición de los usuarios? Qué características tendrán? Cuántos recursos requerirán? Para identificar los problemas de los sistemas primero debemos detectar los síntomas, los cuales son un reflejo del área problemática; después de analizar los síntomas podremos definir y detectar las causas, parte medular de la auditoría. Se deben reunir todos los síntomas y distinguirlos antes de señalar las causas, evitando tomar los síntomas como causas y dejando fuera todo lo que sean rumores sin fundamento. Los sistemas deben ser evaluados de acuerdo con el ciclo de vida que normalmente siguen. Para ello, se recomiendan los siguientes pasos: A) Definición del problema y requerimientos del usuario. Examinar y evaluar los problemas y características del sistema actual, sea manual, mecánico o electrónico, así como los requerimientos por parte del usuario. B) Estudio de factibilidad: Desarrollo de los objetivos y del modelo lógico del sistema propuesto. Análisis preliminar de las diferentes alternativas, incluyendo el estudio de factibilidad técnico y económico de cada alternativa. Desarrollo de recomendaciones para el proyecto del sistema, incluyendo los tiempos y costos del proyecto. C) Diseño general y análisis del sistema. Estudio detallado del sistema actual, incluyendo los procedimientos, diagramas de flujo, métodos de trabajo, organización y control. Desarrollo del modelo lógico del sistema actual. D) Diseño del sistema: Desarrollo de los objetivos para el sistema propuesto. Desarrollo del modelo lógico del sistema propuesto, incluyendo la definición lógica de los procesos, diccionario lógico de datos y diseño lógico de las bases de datos. Evaluación de las diferentes opciones de diseño. Desarrollo del análisis costo-beneficio para evaluar las implicaciones económicas de cada alternativa. E) Diseño detallado Desarrollo de las especificaciones para el sistema físico, incluyendo el diseño de reportes, archivos, entradas, pantallas y formas. Diseño de las especificaciones del programa. Diseño de la implementación y el tiempo y forma de llevar a cabo las pruebas. F)Implementación y desarrollo físico: Codificación y documentación del programa. Evaluación y selección del equipo de cómputo. Desarrollo de sistemas de auditoría, control y seguridad, y desarrollo de los procedimientos de prueba. Desarrollo de los programas de entrenamiento. G)Pruebas del sistema, evaluación y aceptación por parte del usuario y de contraloría interna: Modificaciones y adecuaciones. Instalación Carga de datos H) Soporte cotidiano, cambios y mejoras al sistema. Después de esto, se vuelve nuevamente al ciclo inicial, el cual a su vez debe comenzar con el estudio de factibilidad. También se debe evaluar que un error o corrección en el momento del diseño lógico es de fácil solución y bajo costo, pero que los errores o modificaciones entre más adelantado esté el desarrollo del sistema son más costosos y de más difícil implementación. La primera etapa a evaluar en el sistema es el estudio de factibilidad, el cual debe analizar si el sistema es susceptible de realizarse, cuál es su relación beneficio-costo y si es conductualmente favorable. Se deberá solicitar el estudio de factibilidad de los diferentes sistemas que se encuentren en operación, así como de los que estén en la fase de análisis para evaluar: La disponibilidad y características del equipo. Los sistemas operativos y los lenguajes disponibles. Las necesidades de los usuarios. Las formas de utilización de los sistemas. El costo y los beneficios que reportará el sistema. El efecto que producirá en quienes lo usarán. El efecto que éstos tendrán sobre el sistema. La congruencia de los diferentes sistemas. La congruencia entre los sistemas y la organización. Si están definidos los procesos administrativos, la normatividad y las políticas para la utilización de los sistemas. Su seguridad y confidencialidad. En el caso de los sistemas que estén funcionando, se deberá comprobar si existe el estudio de factibilidad con los puntos señalados, y comparar con la realidad lo especificado en el estudio de factibilidad. Entre los problemas más comunes en los sistemas están los siguientes: Falta de estándares en el desarrollo, en el análisis y en la programación. Falta de participación y de revisión por parte de la alta gerencia. Falta de participación de los usuarios. Inadecuada especificación del sistema al momento de hacer el diseño detallado. Deficiente análisis costo-beneficio. Nueva tecnología no usada o usada incorrectamente. Inexperiencia por parte del personal de análisis y del de programación. Diseño deficiente. Proyección pobre de la forma en que se realizará el sistema. Control débil o falta de control sobre las fases de elaboración del sistema y sobre el sistema en sí. Problemas de auditoría (poca participación de auditoría interna en el momento del diseño del sistema). Inadecuados procedimientos de seguridad, de recuperación y de archivos. Falta de integración de los sistemas (elaboración de sistemas aislados o programas que no están unidos como sistemas) Documentación inadecuada o inexistente Dificultad de dar mantenimiento al sistema, principalmente por falta de documentación o por excesivos cambios y modificaciones hechos al sistema. Problemas en la conversión e implementación. Procedimientos incorrectos o no autorizados. Programas de desarrollo Al utilizar un determinado software se debe evaluar lo siguiente: Interfases de usuario gráfico, para poder diseñar pantallas y reportes agradables y visuales. Enlace de objetos en los sistemas de información. Esto nos permite unir determinados objetos dentro de un documento, por ejemplo, unir un procesador de palabra con una hoja de cálculo, o bien unir información de un programa o sistema a otro programa o sistema. Capacidad de trabajar en multiplataformas. Fácil de usar Grado de sofisticación Capacidad de utilización en red. De fácil instalación Demanda de hardware Requerimientos de memoria Costo Seguridad y confidencialidad Capacidad de trabajar en redes. Licencias. Verificar el tipo de licencia que se puede contratar(individual, múltiple, corporativa) Transportable Compatible con otro software Compatible con periféricos Fácil de usar Grado de sofisticación Capacidad de utilización en red. De fácil instalación Demanda de hardware Requerimientos de memoria Costo Seguridad y confidencialidad Bases de datos En bases de datos se debe evaluar: La independencia de los datos. Redundancia de los datos. Consistencia de los datos. Redes Los puntos a revisar en las redes son: Confiabilidad de las redes. Tiempo de respuesta Costo de la red. Compatibilidad con otras redes. Seguridad en las redes. Evaluación del proceso de datos y de los equipos de cómputo Los datos son uno de los recursos más valiosos de las organizaciones y, aunque son intangibles, necesitan ser controlados y auditados con el mismo cuidado que los demás inventarios de la organización, por lo cual se debe tener presente: La responsabilidad de los datos es compartida conjuntamente por alguna función determinada de la organización y la dirección de informática. Un problema que se debe considerar es el que se origina por la duplicidad de los datos, el cual consiste en poder determinar los propietarios o usuarios posibles y la responsabilidad de su actualización y consistencia. Los datos deberán tener una clasificación estándar y un mecanismo de identificación que permita detectar duplicidad y redundancia dentro de una aplicación y de todas las aplicaciones en general. Se deben relacionar los elementos de los datos con las bases de datos donde están almacenados, así como los reportes y grupos de procesos donde son generados. En todo centro de informática se debe contar con una serie de políticas que permitan la mejor operación de los sistemas. Entre las políticas de operación del computador se encuentran las siguientes: Políticas de respaldos Políticas y procedimientos Políticas de revisión de bitácora(soporte técnico) Control de licencias de software Políticas de seguridad física del site Evaluación de la configuración del sistema de cómputo Los objetivos son evaluar la configuración actual, tomando en consideración las aplicaciones y el nivel de uso del sistema, evaluar el grado de eficiencia con el cual el sistema operativo satisface las necesidades de la instalación y revisar las políticas seguidas por la unidad de informática. Puntos a evaluar en los equipos El equipo que se adquiere dentro de una organización debe de cumplir con el esquema de adquisición de toda la organización. En lo posible, se deben tener equipos estándares dentro de la organización, a menos que por requerimientos específicos se necesite un equipo con características distintas. Esto no implica que los equipos tengan que ser del mismo proveedor, aunque sí deben tener la misma filosofía. Las computadoras y el software pueden rentarse, rentarse con opción a compra, comprarse, y en el caso del software, producirse. Cada una tiene sus ventajas y desventajas, y es función del auditor evaluar en cada instalación en específico por qué se escogió una opción, y si las ventajas que se obtienen son superiores a sus desventajas. El auditor deberá evaluar: Existe un comité de compra de equipo? Quién participa en el comité? Existen políticas de adquisición de equipos? Cómo se determina el proveedor del equipo? Cómo se evaluan las propuestas de instalación, mantenimiento y entrenamiento? Cómo se evalua el costo de operación y el medio ambiente requerido para cada equipo? Se evaluan las opciones de compra, renta y renta con opción a compra?